Abilitare il controllo di rete conforme con l'accesso condizionale

Le organizzazioni che usano l'accesso condizionale insieme all'accesso sicuro globale possono impedire l'accesso dannoso alle app Microsoft, alle app SaaS di terze parti e alle app line-of-business private che usano più condizioni per garantire una difesa approfondita. Queste condizioni possono includere conformità del dispositivo, posizione e altri dati per garantire la protezione contro il furto di token o identità dell’utente. Global Secure Access introduce il concetto di rete conforme all'interno dell'accesso condizionale di Microsoft Entra ID. Questo controllo di rete conforme garantisce che gli utenti si connettano da un modello di connettività di rete verificato per il tenant specifico e siano conformi ai criteri di sicurezza applicati dagli amministratori.

Il client di accesso sicuro globale installato nei dispositivi o negli utenti dietro reti remote configurate consente agli amministratori di proteggere le risorse dietro una rete conforme con controlli avanzati di accesso condizionale. Questa funzionalità di rete conforme semplifica la gestione dei criteri di accesso da parte degli amministratori, senza dover mantenere un elenco di indirizzi IP in uscita. In questo modo viene rimosso il requisito di rimuovere il traffico attraverso la VPN dell'organizzazione.

Applicazione del controllo di rete conforme

L'applicazione della rete conforme riduce il rischio di attacchi di furto/riesecuzione dei token. L'applicazione della rete conforme avviene nel piano di autenticazione (disponibile a livello generale) e nel piano dati (anteprima). Microsoft Entra ID esegue l'imposizione del piano di autenticazione al momento dell'autenticazione utente. Se un avversario ha rubato un token di sessione e tenta di riprodurre il token da un dispositivo che non è connesso alla rete conforme dell'organizzazione (ad esempio, richiedendo un token di accesso con un token di aggiornamento rubato), Entra ID negherà immediatamente la richiesta e l'ulteriore accesso verrà bloccato. L'applicazione del piano dati funziona con i servizi che supportano la valutazione dell'accesso continuo (CAE), attualmente solo SharePoint Online. Con le app che supportano CAE, i token di accesso rubati riprodotti all'esterno della rete conforme al tenant verranno rifiutati dall'applicazione in tempo quasi reale. Senza CAE, un token di accesso rubato durerà fino alla durata completa (60-90 minuti predefinito).

Questo controllo di rete conforme è specifico per ogni tenant.

• Usando questo controllo, è possibile assicurarsi che altre organizzazioni che usano i servizi di Accesso globale sicuro di Microsoft non possano accedere alle risorse.
  • Ad esempio: Contoso può proteggere i servizi, ad esempio Exchange Online e SharePoint Online, dietro il controllo rete conforme per garantire che solo gli utenti di Contoso possano accedere a queste risorse.
  • Se un'altra organizzazione come Fabrikam usasse un controllo rete conforme, non supererebbe il controllo rete conforme di Contoso.

La rete conforme è diversa da IPv4, IPv6 o posizioni geografiche che è possibile configurare in Microsoft Entra. Gli amministratori non devono esaminare e mantenere gli indirizzi IP/intervalli di rete conformi, rafforzare il comportamento di sicurezza e ridurre al minimo il sovraccarico amministrativo in corso.

Prerequisiti

• Gli amministratori che interagiscono con le funzionalità di Accesso globale sicuro , a seconda delle attività che svolgono, devono avere almeno una delle seguenti assegnazioni di ruolo.
  • Il ruolo Amministratore accesso globale sicuro per gestire le funzionalità dell'accesso globale sicuro.
  • Amministratore dell'accesso condizionale per creare e interagire con i criteri di accesso condizionale e le posizioni denominate.
• Il prodotto richiede licenze. Per informazioni dettagliate, vedi la sezione relativa alle licenze di Che cos'è l'accesso sicuro globale. Se necessario è possibile acquistare licenze o ottenere licenze di test.

Limitazioni note

• L'applicazione del piano dati di controllo di rete conforme (anteprima) con la valutazione dell'accesso continuo è supportata per SharePoint Online ed Exchange Online.
• L'abilitazione della segnalazione dell'accesso condizionale dell'accesso sicuro globale consente la segnalazione sia per il piano di autenticazione (Microsoft Entra ID) che per il segnale del piano dati (anteprima). Non è attualmente possibile abilitare queste impostazioni separatamente.
• Il controllo di rete conforme non è attualmente supportato per le applicazioni di accesso privato.

Abilitare la segnalazione del servizio Accesso globale sicuro per l'accesso condizionale

Per abilitare l'impostazione richiesta per consentire il controllo di reti conformi, un amministratore deve effettuare i passaggi seguenti.

1. Accedere all'Interfaccia di amministrazione di Microsoft Entra come Amministratore Accesso globale sicuro.
2. Passare a Global Secure Access Settings Session management Adaptive access (Accesso adattivo per la gestione>delle impostazioni>di accesso> sicuro globale).
3. Selezionare l'interruttore Abilita segnalazione CA per Entra ID (che copre tutte le app cloud). Ciò abiliterà automaticamente la segnalazione CAE per Office 365 (anteprima).
4. Passa a Protezione>Accesso condizionale>Posizioni denominate.
   1. Verificare che sia presente una località denominata Tutte le posizioni di rete conformi con il tipo di posizione Accesso di rete. Le organizzazioni possono contrassegnare facoltativamente questa località come attendibile.

Attenzione

Se l'organizzazione dispone di criteri di accesso condizionale attivi in base al controllo di rete conforme e si disabilita la segnalazione dell'accesso sicuro globale nell'accesso condizionale, è possibile impedire involontariamente agli utenti finali di accedere alle risorse. Se è necessario disabilitare questa funzionalità, eliminare prima di tutto qualsiasi criterio di Accesso condizionale corrispondente.

Proteggere le risorse dietro la rete conforme

I criteri di accesso condizionale di rete conformi possono essere usati per proteggere le applicazioni Microsoft e di terze parti. Un criterio tipico avrà una concessione "Blocca" per tutti i percorsi di rete ad eccezione della rete conforme. L'esempio seguente illustra i passaggi per configurare questo tipo di criteri:

1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come amministratore dell'accesso condizionale.
2. Passare a Protezione>Accesso condizionale.
3. Selezionare Crea nuovo criterio.
4. Assegnare un nome ai criteri. È consigliabile che le organizzazioni creino uno standard descrittivo per i nomi dei criteri.
5. In Assegnazioni, selezionare Utenti o identità del carico di lavoro.
   1. In Includi selezionare Tutti gli utenti.
   2. In Escludi, selezionare Utenti e gruppi e scegliere gli account di accesso di emergenza o gli account critici dell'organizzazione.
6. In Risorse>di destinazione Includi e selezionare Tutte le risorse (in precedenza "Tutte le app cloud").
   1. Se l'organizzazione sta registrando i dispositivi in Microsoft Intune, è consigliabile escludere le applicazioni Registrazione di Microsoft Intune e Microsoft Intune dai criteri di accesso condizionale per evitare una dipendenza circolare.
7. In Rete.
   1. Impostare Configura su Sì.
   2. In Includi selezionare Tutte le località.
   3. In Escludi selezionare il percorso Tutti i percorsi di rete conformi.
8. In Controlli di accesso:
   1. Concedi, seleziona Blocca accesso e seleziona Seleziona.
9. Confermare le impostazioni e impostare Abilita criterio su Attivato.
10. Selezionare il pulsante Crea per creare per abilitare i criteri.

Nota

Usare l'accesso sicuro globale insieme ai criteri di accesso condizionale che richiedono una rete conforme per tutte le risorse.

Le risorse di accesso sicuro globale vengono escluse automaticamente dai criteri di accesso condizionale quando la rete conforme è abilitata nei criteri. Non è richiesta alcuna esclusione esplicita delle risorse. Queste esclusioni automatiche sono necessarie per garantire che il client accesso sicuro globale non sia bloccato dall'accesso alle risorse necessarie. Le risorse necessarie per l'accesso sicuro globale sono:

• Profili di traffico di accesso sicuro globale
• Servizio criteri di accesso sicuro globale (servizio interno)

Gli eventi di accesso per l'autenticazione delle risorse di Accesso sicuro globale escluse vengono visualizzati nei log di accesso di Microsoft Entra ID come:

• Risorse Internet con accesso sicuro globale
• App Microsoft con accesso sicuro globale
• Tutte le risorse private con accesso sicuro globale
• Servizio criteri ZTNA

Esclusioni di utenti

I criteri di accesso condizionale sono strumenti potenti, ma è consigliabile escludere dai criteri i seguenti account:

• Accesso di emergenza o account break-glass per impedire il blocco a causa di errori di configurazione dei criteri. Nello scenario improbabile che tutti gli amministratori siano bloccati, l'account amministrativo di accesso di emergenza può essere usato per accedere ed eseguire le operazioni necessarie per ripristinare l'accesso.
  • Altre informazioni sono disponibili nell'articolo Gestire gli account di accesso di emergenza in Microsoft Entra ID.
• Account del servizio e entità servizio, ad esempio l'account di sincronizzazione Microsoft Entra Connect. Gli account del servizio sono account non interattivi che non sono collegati a un utente specifico. Vengono in genere usati dai servizi back-end che consentono l'accesso programmatico alle applicazioni, ma vengono usati anche per accedere ai sistemi per scopi amministrativi. Le chiamate effettuate dalle entità servizio non verranno bloccate dai criteri di accesso condizionale con ambito utenti. Usare l'accesso condizionale per le identità identità dei carichi di lavoro al fine di definire criteri destinati alle entità servizio.
  • Se l'organizzazione dispone di questi account in uso negli script o nel codice, è consigliabile sostituirli con identità gestite.

Provare i criteri di rete conformi

1. In un dispositivo dell'utente finale con il client Accesso sicuro globale installato ed eseguito, passare a https://outlook.office.com/mail/ o https://yourcompanyname.sharepoint.com/, si ha accesso alle risorse.
2. Sospendere il client Accesso sicuro globale facendo clic con il pulsante destro del mouse sull'applicazione nella barra di Windows e scegliendo Sospendi.
3. Passare a https://outlook.office.com/mail/ o https://yourcompanyname.sharepoint.com/, non è possibile accedere alle risorse con un messaggio di errore che indica che non è possibile accedervi al momento.

Risoluzione dei problemi

Verificare che la nuova posizione denominata sia stata creata automaticamente usando Microsoft Graph.

GET https://graph.microsoft.com/beta/identity/conditionalAccess/namedLocations

Passaggi successivi

Restrizioni del tenant universale